安全性需要标准化吗?

半导体工程坐下来讨论芯片和系统安全与Mike Borza，研究员和科学家在安全IP团队Synopsys对此；Lee Harrison，汽车IC测试解决方案经理西门子数字工业软件；的创始人兼首席技术官Jason ObergCycuity(原Tortuga Logic);尼科尔·弗恩，高级安全分析师Riscure；张德昌，电子，半导体和光学业务部门的研究员和CTO有限元分析软件；Frank Schirrmeister，解决方案和生态系统高级集团总监节奏；以及Optima Design Automation的首席执行官贾米尔•马扎维。以下是那次谈话的节选。

(上，从左到右)Mike Borza, Synopsys;西门子数字工业软件公司Lee Harrison;Cycuity的Jason Oberg;(下，从左到右)Nicole Fern, Riscure;Norman Chang, Ansys;Frank Schirrmeister，《Cadence》;以及Optima Design Automation的Jamil Mazzawi。

SE:安全是一个热门话题。当今业界在芯片和系统安全方面处于什么位置?

蕨类植物:在接近安全的时候，最重要的事情就是总是要有一个权衡。上市时间压力总是很大。大多数团队都有固定的安全预算。事情就是这样。他们必须利用现有的资源，公司在安全战略方面应该采取的方向是找出如何以最明智的方式使用预算。首先是威胁建模的过程。最终，没有什么灵丹妙药、单一解决方案、单一工具或单一方法可以神奇地解决所有人的安全问题。你最了解你的设计，你最了解你的市场，你只需要投入精力做威胁建模，弄清楚你在安全方面处于什么位置，你想要达到什么位置，你必须使用什么资源，以及如何最好地利用这些资源。

奥伯格安全与其说是技术，不如说是过程。其中显然有一个人员组件，但它实际上是关于经历威胁建模的过程，并使用该过程来定义您所服务的市场的安全需求。构建一个可以验证这些需求的验证计划，然后使用可量化的度量来帮助验证安全性。所以无论是需求的覆盖，还是来自验证计划的支持数据，或者像常见弱点列举MITRE认为，技术解决方案至关重要，因为我们需要自动化。我们不想手动去做一些事情，但是构建一个全面的安全方法的过程真的很重要。

Mazzawi:今天，安全验证是在硅后执行的，主要是因为可以有效验证安全漏洞并在RTL级别执行故障攻击模拟的机制不存在或极其缓慢。我们所需要的是在高性能故障模拟之上建立一个专门的层，允许对任何类型的安全攻击进行建模，以及针对激光和电磁攻击的内置模型。

Borza我同意安全是一个热门话题。我觉得是时候了。在过去的25年里，每年都是安全之年，但我们开始看到与言论相符的行动。我觉得我们还没到那一步。行业中仍有大量公司采取逃避现实的方式，希望不要被发现。我认为这是一个很好的迹象，我们开始看到更多的采用，并真正努力设计安全性。我已经说过很长一段时间了，安全的思想需要在基本级别上进行架构设计。如果您没有将其引入到硅层，并在硅层上真正处理它，那么您就错过了通过一些东西来保护您的产品的机会，这些东西可以避免一些脚本儿童攻击(一些更简单的攻击)。最终，它又回到了硅，在坚硬的基础上立即建造，让你有机会从攻击中防御和恢复。这一点越来越重要。

哈里森我已经在安全领域敲了好几年的鼓了，它一直在后台。但它从未真正成为主要焦点。现在，人们对安全问题的关注似乎大大增加了。我在测试产品方面做过很多工作，客户现在会问，默认情况下，安全性是如何构建到测试中的。然后在另一个层面上，我也研究了汽车垂直市场，这是一个真正的挑战。当我与汽车终端客户交谈时，他们中的许多人仍在自己研究他们真正需要的东西。同样，这是不同地区，不同国家的不同情况，比如不同国家的安全类型批准。但我们正在努力，我们看到这些需求正在出现。还有像嵌入式分析技术，这是从安全的角度采用的，它是关于将技术放在低水平，在硬件中。

Schirrmeister安全有一点“过去是，现在是，将来也会是”的意思，是未来的热门话题。然后，如果我看看我们所服务的垂直领域——消费者、超大规模、移动、网络、航空航天/国防、汽车、工业和健康——与12个技术水平相比较，安全是这些技术水平中的一个，仅次于安全、低功耗和更高级别的元素，例如跨数字双胞胎的AI/ML。从解决方案的角度来看，我看到的有趣的情况是，每个不同的领域都有非常不同的安全重点和优先级。在航空航天/国防领域，这是一个巨大的话题，但它的含义与汽车行业不同。如果你在医疗/保健方面没有它，它将改变你的生活。所以这是一个非常重要的话题，它受到应用领域的影响。然后从生态系统的角度来看，这是一个你真正需要一个生态系统伙伴家庭一起工作的地方，有一个大的生态系统需要处理。此外，我最近在德国的Embedded World大会上被提醒，实际上安全和保障只有一个词。这可能说明了这两者之间的关系有多密切。

常:在Ansys，我们大约在四五年前开始了一项安全计划，我们一直在与客户交谈，我们可以看到他们对前硅安全解决方案非常感兴趣，因为一旦你完成设计，把它送到安全实验室，比如Riscure，他们会给你一份报告，说通过或不通过。它可能不会经常告诉你在哪里解决问题。到那时就太晚了，而且会耽误产品在市场上的推出。因此，如果我们能够将安全解决方案，特别是在设计周期的早期进行硅前安全签到，一直到RTL和系统级别，那将是完美的。这是客户的强烈要求，他们会与你交谈。从今年开始，我们就看到了这一点。我确信会有一些工具问世。Cycuity/Tortuga早在三四年前就有了工具。我们刚刚发布了基于布局的功率侧信道和电磁侧信道攻击工具，以及基于RTL和门级的功率侧信道解决方案。我们可以根据设计的内容提供一些可能的安全弱点的见解，其中设计人员需要查看性能安全SEO。 As EDA vendors, we need to provide more tools for pre-silicon security, verification and sign-off, and that will come in one to three years because the sign-off threat in security is still very, very real. The sign-off includes dynamic voltage drop and electromigration. For the electromagnetic simulation, which is very common, everyone knows what sign-off means. But if you talk to a security designer and mention pre-silicon signoff, they have zero idea what that is. So there’s a lot of education we need to do with all vendors together to get the message out.

SE:目前芯片安全的标准是什么?我们如何在生态系统中工作，这样就不会有人重新发明轮子了?这是否有可能使方法学在今天得以开发和实施?

Borza首先，对于真正的硬块安全有FIPS 140 - 3(通用标准等)。它们已经存在了一段时间，但它们非常专业，非常专注于加密模块的安全性，正如他们所说，这是安全领域的一块硬块。我会说ISO 21434是第一个跨越许多领域的真正行业重点标准。虽然有批评，但这是一个很好的起点。我们会看到更多这样的例子。SAE 232正在朝着系统级安全的正确方向发展。这是非常重要的。MITRE做得很好，并扩展了它在CWE(常见弱点枚举)中的作用，以更多地了解硬件安全，封装和交流我们作为一个行业可以获得的知识，以便每个人都从一个共同的基本知识开始。

Schirrmeister: CWE绝对是其中之一。但是，虽然标准化确实很重要，但我们也需要非常小心。这是我们正在标准化的过程——CWE和MITRE等等。然后，生态系统需要作为工具和IP的提供者一起工作。IP在需要时提供它，工具被用来证明它。从生态系统的角度来看，我们共同努力是非常重要的，因为没有人能独自完成所有的事情。在标准化方面，如果你在汽车设计中使用HSM(硬件安全模块)之类的东西，我实际上对标准化并不确定，因为每个人都想拥有自己的安全和专有元素。因此，我们认为HSM很难标准化，只有一些事务组件除外，比如如何存储密钥等等。但人们真的希望尽可能地拥有所有权。这实际上是一个标准化的问题。

奥伯格这里有两个主要的商业驱动力。一个显然是标准化。很明显，如果你能勾选一个框，人们就更有可能购买。如果你在某个市场销售，如果你必须打勾，你就必须这么做。这就是标准化可以帮助推动的。另一个因素实际上更多地是由客户需求驱动的，“我想要一个安全的产品”，或者他们实际上已经经历过这种危机，而且这种危机确实发生在他们身上。如果你考虑定义系统过程当你有预先定义的安全需求时，这些安全需求的一部分实际上是由像144这样的标准驱动的，这是正在出现的。我们有一些客户使用我们的产品来帮助提供证据来支持你们提供的符合这些标准的一些数据。这是一个关键的驱动因素，但不是解决方案，因为有很多类型的漏洞正在打击其他人，无论是在汽车和物联网市场之外，还是其他领域。这将损害组织的知识产权，但不一定会导致任何安全违规。 And often standardization and safety get closely aligned, so it’s important to go through that process. That’s where CWE can help a lot, because companies that we talk to have internal requirements, they have processes, they don’t want to disclose it to their customers because it’s, ‘Here are all the specifics of what we’re doing for our intellectual property to prove security.’ But CWE is a very transparent way of communicating publicly because you can say, ‘Here are the weaknesses I care about. We have not addressed these because they’re out scope for our market. We’ve addressed these, and this is how we’ve done it.’ You can provide a lot more open dialogue using that framework. Standards aren’t going to fix the process, but it’s a key business driver for certain markets.

Schirrmeister这就是生态系统的组织元素。

蕨类植物有了标准就有了平衡。它们必须足够通用，以捕获广泛的应用程序，但也必须足够具体，以可操作。我在标准中看到过很多类似于“不允许不受信任的软件在平台上运行”的语句，但是它们并没有提供任何关于如何实现安全引导的指导。标准除了有点笼统之外，还必须是可操作的。另外，一个标准是非常具体的，但如果它有1000页长，也不是那么有用。这需要一个平衡。我喜欢CWE的结构，因为它提供了一些你可以导航的结构。它不是一份10000页的规范，但也不是一个标准。没有实体强制遵守你必须覆盖多少CWEs，所以要么必须有法律强制遵守标准，要么有其他市场驱动因素让人们实施标准。

Borza:例如，对于侧通道安全签名，特定行业可能要求一定的级别。TVLA(测试矢量泄漏评估)可能是最著名的，但是对于一个有特征的弱点，还有其他新兴的指标比TVLA做得更好。现在并没有什么真正的标准。安全认证和其他安全认证的另一个不同之处在于，例如，安全认证是不断变化的。你从一个高水平开始，然后你永远在走下坡路，你变得越来越不安全，因为攻击技术不断发展，攻击者变得越来越聪明。所以我们可以找到一个时间点，但如果不认识到随着时间的推移你会变得不那么安全，你就不能在时间上定义它。您希望刷新安全性，这意味着您应该如何构建一个系统，以及您需要做些什么来使其可评级-使其与攻击技术一起发展。大多数标准对于如何实现某些东西和需要做什么都相当模糊。Nicole说，当你得到实现安全引导的消息时，他们没有提供关于安全引导或安全引导的含义的指导，甚至没有提供可信引导的含义。但在这方面，我们仍有创新的空间，并在竞争的解决方案中进行区分。 How you actually implement the requirements of the standard is different from the fact that you achieve that standard, and so even in the standards the quality of solutions can still be different.

Mazzawi:标准是由公司推动的，公司从解释标准中获取收入。所以它必须以一种方式来写，如果你有什么不理解的地方，你不需要付钱给别人给你解释。

哈里森:我们在ISO 21434上做了很多工作。我们的很多技术都是基于安全加固，而ISO 21434中并没有明确如何实现硬件安全。所以这又回到了你想要达到的目标，但是没有关于我们的目标的指导。我们在ISO 26262中看到了很多这种情况。第一个版本真的很模糊，这些年来，它有了一点进步。人们现在开始理解如何解释它。我希望ISO 21434也能做同样的事情，但目前它似乎更多的是混淆而不是指导。

相关的
商用芯片安全隐患扩大
从多个供应商菜单中选择组件对于降低成本和上市时间有着巨大的希望，但这并不像听起来那么简单。
芯片替换引发安全担忧
在多个细分市场中，许多未知因素将持续数十年。
从头开始将安全性构建到ic中
无点击和区块链攻击表明黑客越来越复杂，需要更早地关注潜在的安全风险和解决方案。
使用ReRAM puf隐藏安全密钥
如何结合两种不同的技术来创建一个独特而廉价的安全解决方案。
验证侧通道安全预硅
复杂性和新的应用程序正在将安全性进一步推向设计流程的左侧。
保安技术文件